VAddyブログ

- 継続的セキュリティテストへの道 -

クロールデータのラベルを利用した脆弱性検査がWebAPI経由で可能に

VAddyでは脆弱性検査の対象となるクロールデータを指定することができます。
※事前に検査対象とする画面遷移やパラメータを登録したもの
オートクロール系の検査ツールは対象となるWebサイトをほぼ全て検査してしまうので、検査完了まで大変な時間がかかります。
VAddyは開発(アップデート)した箇所のみを指定して検査できるため、必要な箇所のみを短時間に脆弱性検査することもできます。


これまでVAddyのWebAPI経由でクロールデータを指定する場合は、クロールIDと呼ばれるユニークなIDを指定する必要がありました。
今回リリースした機能によって、クロールIDの他にラベル(ユーザーが設定した任意の名称)を指定して検査できるようになりました。

実行例

例えばログイン画面の機能追加を複数回実行し、その都度クロールデータを作成し、それぞれのクロールデータに「loginScreen xxx」というラベルをつけたとします。


image

WebAPI経由でクロールIDを指定してスキャンする場合は、クロールデータがアップデートされるたびに指定する「Crawl ID」を最新のものに変更する必要があります。
一方、ラベルを指定してスキャンする場合は、クロールデータをアップデートしても指定するラベルを更新する必要はありません。指定された文字列(上記例では「loginScreen」)を含むクロールデータのうち最新のものを利用してスキャンを実行します。

VAddy Rubyクライアントツールを利用する場合は、下記URLの「Argument with the crawl label keyword」の章をご覧ください。
https://github.com/vaddy/vaddy-api-ruby
ここではusereditというキーワードでクロールIDを降順で取得し、検索でヒットした中の一番最新のクロールIDを取得して検査を実行しています。

また、WebAPI経由で登録されたクロール情報の一覧の取得とラベル名での検索機能もリリースしています。この機能により登録済みのクロール情報(クロールID、ラベル)をWebAPIから取得できるようになりました。

WebAPI仕様書

今回の機能追加したWebAPIの仕様は下記にあります。
VAddy Web API Crawl Document

今回のリリースはWebAPI経由の検査のみに対応しています。
Jenkins対応は来週を予定しています。

http://vaddy.net/ja/
@vaddynet